一种智能博客锁的制作、博客访问控制的方法及其系统

摘要

本发明公开了一种智能博客锁的制作、博客访问控制的方法及其系统，属于信息安全领域。该博客锁的制作方法为：博客服务器为用户指定的U盘生成一U盘标志；然后根据U盘标志和用户提交的信息生成该U盘的授权ID信息；最后博客服务器将该U盘的授权信息进行登记注册，并将其保存到该U盘中。该博客访问控制方法为：博客服务器首先判断访问用户的智能博客锁是否加载成功，然后博客服务器判断该智能博客锁状态是否正常，如果正常则允许用户访问；如果加载未成功或状态不正常，则拒绝访问。该系统包括博客服务器、智能博客锁客户端、系统管理界面。本发明通过对U盘进行授权实现对博客的访问控制，既保护了数据，又不影响用户的使用习惯，方便易用。

说明书

技术领域

本发明涉及一种博客访问控制的实现方法，特别是一种智能博客锁的制作、博客访问控制的方法和系统，属于信息安全和计算机软件技术领域。

背景技术

博客的出现让人耳目一新，为网民提供了一个畅所欲言的场所，人们可以在博客上发表自己对人生、对事业、对社会的各种感想和观点，同时博客也是快速发布消息的最佳平台，越来越多的网民，拥有了自己的博客。随着博客的普及，对博客私有内容的访问控制也越来越受到大家的关注。在已知的现有技术中，通常采用密码保护的方式进行控制，也有采用基于用户分组的形式来进行控制，例如，发明专利“博客好友权限管理方法及系统”(200810166303.5)就是将好友帐户分组，根据所设置分组的权限对登录帐户访问的内容进行访问控制。这些技术都是通过纯软件的形式来实现对博客内容的访问控制。

但是，纯软件的保护形式存在不可靠的问题。例如，对密码保护方式而言当有人猜中我的密码后，博客的私有内容就在其他网站上传播开来，导致了密码保护形同虚设。所以硬件的验证方式可能是更好的选择，目前普遍使用的U盘具有体积小、容量大、携带方便，实现成本低的特点。因此，可以将U盘定为智能博客锁的硬件设备。同时，又因为U盘还是学习或工作过程中的必备的存储工具，经常用来存储学习资料、博客素材、个人日志等私有数据。一旦丢失，或被其他人误用，容易造成个人隐私信息泄露。所以，提供一种基于安全U盘博客访问控制的技术和方法具有现实意义。

发明内容

针对目前博客在访问控制方面存在的缺点和问题，本发明的目的是提供一种智能博客锁的制作、博客访问控制的方法和系统，其通过改变博客私有内容的访问控制模式，增强私有博客访问的安全性；同时在不干扰用户使用的情况下后台加密U盘中的数据，保护存储在U盘中的个人数据安全。

本发明的技术方案为：

一种智能博客锁的制作方法，其步骤为：

1)博客服务器为用户指定的U盘生成一U盘标志；

2)博客服务器根据U盘标志和用户提交的信息生成该U盘的授权ID信息；

3)博客服务器将该U盘的授权信息进行登记注册；

4)博客服务器将该U盘的授权信息保存到该U盘中。

所述博客服务器生成磁盘密钥、盐和头密钥；然后利用磁盘密钥对所述授权ID信息进行加密，生成密文信息，并利用所述头密钥对所述磁盘密钥进行加密；所述加密算法为对称加密算法。

所述方法中，采用散列算法生成所述盐和磁盘密钥；利用随机算法生成所述磁盘密钥；所述用户提交的信息包括：用户名、口令、手机号码。

所述方法中，将所述密文信息按照虚拟卷格式生成虚拟卷文件，然后将所述U盘作为该虚拟卷文件的载体保存所述密文信息。

所述虚拟卷格式为：盐、验证标志、口令、磁盘密钥、版本号、校验码、授权ID和用户数据存储空间；所述虚拟卷以每个扇区512个字节为单位进行格式化；所述验证标志包括用于识别U盘格式的特征码；所述版本号为当前智能博客锁的版本和能供加载该磁盘驱动的版本号；所述校验码为校验算法根据所述验证标志生成的一个长整数。

一种智能博客锁的博客访问控制方法，其步骤为：

1)用户访问博客私有内容时，博客服务器判断该用户的智能博客锁是否加载成功；

2)如果加载成功则读出所述智能博客锁内的授权ID信息；如果加载未成功则拒绝该用户访问；

3)博客服务器根据读出的授权ID信息判断该智能博客锁状态是否正常；

4)如果正常则博客服务器读取博客私有内容，否则拒绝该用户访问。

所述授权ID信息为加密后的密文信息，将所述密文信息按照虚拟卷格式生成虚拟卷文件，并保存在智能博客锁中；所述虚拟卷格式为：盐、验证标志、口令、磁盘密钥、版本号、校验码、授权ID和用户数据存储空间；所述验证标志包括用于识别U盘格式的特征码；所述版本号为当前智能博客锁的版本和能供加载该磁盘驱动的版本号；所述校验码为校验算法根据所述验证标志生成的一个长整数。

所述智能博客锁的加载方法为：

1)客户端枚举当前计算机所有的存储设备；

2)客户端根据存储设备的验证标志判断该设备是否为智能博客锁；

3)如果是智能博客锁，则读出所述智能博客锁虚拟卷文件中的密文信息；

4)客户端解密所述密文信息中的口令，并与用户输入口令进行比较，判断口令是否正确；如果不正确则返回加载未成功信息；如果正确则提取该口令；

5)客户端根据提取的口令生成用来加密所述磁盘密钥的头密钥，解密出所述磁盘密钥和加密算法，进而解密出所述授权ID；

6)检查授权ID是否正确，如果正确则加载成功。

所述博客服务器通过维护所述智能博客锁的状态控制智能博客锁的使用周期；所述智能博客锁的状态包括授权、锁定、回收。

一种智能博客锁的博客访问控制系统，包括博客服务器、智能博客锁客户端、系统管理界面；

所述博客锁服务器包括数据库和后台服务单元，其中，数据库用于存储用户的智能博客锁授权信息，后台服务单元用于获取博客锁密码、验证博客锁的状态；

所述智能博客锁客户端用于加载、卸载智能博客锁，将写入磁盘的数据加密、解密读出磁盘的数据并将智能博客锁作为访问博客内容的凭证；同时，通过验证用户访问博客锁密码的正确性和服务器上博客锁的状态，智能的完成私有博客内容的访问控制；

所述系统管理界面包括博客锁制作单元和博客锁管理单元；所述博客锁制作单元对普通U盘进行授权管理，并采用特定的格式将U盘作为虚拟磁盘的载体进行格式化；所述博客锁管理单元用于对博客锁的使用状态进行控制；所述特定的格式为：盐、验证标志、口令、磁盘密钥、版本号、校验码、授权ID和用户数据存储空间。

根据本发明的目的，本发明主要基于以下构思：方法与系统的设计与实现要将方便性、易用性和安全性统一起来。实现方法是利用虚拟磁盘技术，采用磁盘级加密的方法，将普通的U盘在浏览器上进行授权并采用特定格式进行格式化，制作成智能博客锁，同时将写入U盘的数据通过特殊格式的虚拟磁盘进行加密，数据以密文形式存储在智能博客锁上，不论读或写数据都需要先加载智能博客锁，当访问博客私有内容时，系统自动判断是否有权限，验证过程无需用户干涉，方便了博客访问者。整个制作过程不需要增加额外的硬件支持，数据安全存储和博客安全访问过程对使用者而言不需做任何额外操作，同时提供手机短信获取智能博客锁里密码功能，一旦用户忘记了密码，还可以通过手机短信找回来。为实现上述目的，基于安全U盘的智能博客锁的制作及博客访问控制实现方法包括如下步骤：

1)博客锁的制作：根据设定的用户名、口令和手机号码等个人身份信息，结合生成的GUID(U盘标志)对普通U盘进行授权，形成授权信息，将普通U盘作为虚拟卷的镜像文件载体，按照特定的格式进行格式化，所述的特定格式是指在虚拟卷的头扇区除了包括用于通过随机口令生成头密钥的盐和验证标志外，还包括采用固定密钥对称加密算法加密的口令、用头密钥加密过的磁盘密钥、版本号、校验码及授权ID(即授权标志)。其中，验证标志包括用于识别U盘格式的特征码。用于加密磁盘密钥、授权信息等内容的加密算法可以采用公知的对称算法，如AES，BlowFish、CAST等。博客锁的这些授权信息同时在博客的服务器上形成相应的记录。制作完成的博客锁可以作为安全U盘进行文件的存储，也可以作为访问博客私有内容的凭证。

2)博客的访问控制：系统对博客私有内容的访问控制主要是通过制作的博客锁来实现的。当访问博客的私有内容时，系统自动通过ActiveX控件判断博客锁是否加载。博客锁加载时首先将虚拟卷头扇区中的口令解密，然后与用户输入口令进行比较，判断用户输入的口令是否正确，如果正确则产生一个虚拟磁盘，同时获取磁盘密钥信息，否则加载失败。加载博客锁后，打开博客私有内容网页即可实时自动完成验证并看到私有内容，整个验证过程系统智能识别，无需用户干涉，方便了博客访问者。

3)博客锁的管理：博客锁在生命周期内可以按照智能博客锁使用周期示意图(图1)进行管理。也可以在博客服务器上对博客锁的状态进行管理，可以控制博客锁是否继续有权访问私有内容。

4)博客锁密码的获取：防止博客锁密码丢失引起的问题，提供方便、安全的博客锁密码获取途径。

本发明的另一目的在于提供一种用于实现上述方法的基于安全U盘的智能博客锁及博客访问控制系统。系统采用B/S架构，包括博客服务器、博客锁客户端、系统管理界面三大部分，其中，每个部分所包含的具体功能单元如下：

博客服务器：系统博客锁服务器主要用于存储博客锁的用户信息、博客锁状态等，包括数据库和后台服务单元。其中，数据库系统用户存储博客锁的授权信息，后台服务器单元用于获取博客锁密码、验证博客锁的状态等。

博客锁客户端：系统博客锁客户端主要用于加载安全U盘、卸载安全U盘、将写入磁盘的数据加密、读出磁盘的数据解密并将博客锁作为访问博客私有内容的唯一凭证。博客锁可以作为安全U盘来使用，存放在U盘中的数据都是加密的，从U盘中读出的数据将自动的解密，可以防止U盘丢失后的数据外泄。同时，通过验证用户访问博客锁密码的正确性和服务器上博客锁的状态，智能的完成私有博客内容的访问控制。此外，通过博客锁客户端软件，可以修改登录博客锁密码，也可以通过短信的方式获取博客锁的登录密码，其中短信获取密码主要实现当博客锁的密码丢失后，向博客服务器发送密码回传指令，博客服务器收到指令后向登记博客锁ID所对应的手机号码发送短息，从而就获得了打开智能博客锁的密码。

系统管理界面：系统管理界面主要提供博客锁制作和博客锁管理的功能。博客锁制作是对普通U盘进行授权管理，并采用特定的格式将U盘作为虚拟磁盘的载体进行格式化。具体包括随机数生成器、密钥生成器、用户交互单元、加密单元、格式化单元。其中，随机数生成器根据用户选择的随机算法生成随机数；密钥生成器用于根据用户输入的口令来生成加密磁盘头扇区的密钥；用户交互单元接受用户输入的口令；加密单元用于根据用户选择的对称算法ID，选择相应的算法加密磁盘的头几个扇区；格式化单元用于将U盘格式化成特定的格式，将标志信息、磁盘密钥、授权标志等信息写入虚拟卷文件的头几个扇区。博客锁的管理主要是通过服务器对博客锁的使用状态进行控制，可以控制博客锁是否继续有权限访问博客私有内容。

基于智能U盘的智能博客锁系统具有三个主要功能：

一、博客安全：在智能博客锁中存储访问博客的用户身份，只有拥有智能博客锁的合法用户才能访问博客中的私有内容。

二、数据存储安全：对U盘中的数据实施了安全保护。存储在智能博客锁里的数据有两道安全防线，一是访问U盘时的密码验证，二是所有存储在U盘中的数据都是加密的，即使丢失，捡到的人也看不见U盘里的内容。

三、密码短信通知：提供手机短信获取智能博客锁里密码功能，一旦用户忘记了密码，还可以通过手机短信找回来。

本发明的技术效果在于：

只有经过授权的U盘才能访问博客的私有内容，并且授权后的博客锁可以作为安全U盘使用，向U盘读写数据加解密过程对用户而言不需做额外任何操作，既达到了保护数据的目的，又达到了不改变用户使用习惯的目的，通过短信的方式获取遗忘的密码既安全又方便。

附图说明

图1表示智能博客锁的使用周期示意图；

图2表示制作智能博客锁的流程示意图；

图3表示虚拟卷的结构示意图；

图4表示智能博客锁的加载验证示意图。

图5表示智能博客锁访问私有内容示意图

图6表示智能博客锁获取密码示意图

具体实施方式

以下结合附图，通过具体的实施案例详细描述本发明。在本实施例的描述中，基于安全U盘的智能博客锁系统将在对实现方法的描述中同时体现出来。

现以某同学使用的普通U盘为例，制作博客锁首先需要在博客服务器后台进行授权。如图2所示，对普通U盘进行登记注册后，由授权制作中心进行授权和格式化，即可制作成智能U盘博客锁。如图1所示，智能博客锁可以被锁定、解锁、回收、重新授权等。

为了统一管理，首先将普通U盘在授权制作中心上进行登记注册，将U盘的授权ID登记到服务器的数据库中，数据库中还保存着与ID对应的用户、密码、手机号码等信息。然后，由授权中心对U盘进行格式化授权，如图3所示，在制作过程中，制作中心的各个单元所执行的具体步骤如下：

1)密钥生成器根据一种散列算法生成盐和头密钥。所述的盐是指由口令导出的一个大密钥集合的索引。

2)在授权中心根据提交的个人信息及U盘标志生成授权ID。个人信息具体包括用户名、密码、手机号码。

3)随机数生成器根据随机算法生成用于加密磁盘数据的磁盘密钥。

接着，加密单元用步骤1)中生成的头密钥将磁盘密钥采用对称算法加密，并且用磁盘密钥将授权ID采用对称算法加密，生成特定格式的密文。

最后，格式化单元按照图3所示的特定的虚拟卷格式，生成特定的虚拟卷文件，将U盘作为该虚拟卷文件的载体，虚拟卷以每个扇区512个字节为单位进行格式化。这样做的目的是为了保证格式化后加载的虚拟磁盘能够兼容现行的Windows系统所支持的文件系统。在格式化的过程中，将上述步骤中生成的密文和盐、验证标志以及其他必要的磁盘信息一起存入磁盘的头几个扇区。其中，口令是采用固定密钥对称加密算法加密的数值，验证标志是特征码，版本号表示当前博客锁的版本和能供加载该磁盘驱动的版本号，校验码表示校验算法根据验证标志生成的一个长整数，授权ID表示该智能博客锁的唯一标识号，虚拟卷的剩余空间用来存储用户数据。

按照图3所示的格式格式化后，一个普通的U盘就被制作成了智能博客锁。在使用时，Windows文件系统不能直接读取该磁盘，必须由能够解析上述特定格式的虚拟磁盘驱动程序来加载该磁盘后，产生一个虚拟磁盘，Windows系统才可以正常使用这个虚拟磁盘。

该同学使用智能博客锁时，客户端首选需要加载该博客锁。客户端加载虚拟卷具体过程如图4所示，具体步骤如下：

1)存储器监控单元得到枚举当前计算机所有的存储设备；

2)虚拟磁盘加载单元根据验证标志判断该设备是否为智能博客锁；

3)如果是智能博客锁，读出虚拟卷文件头扇区中以密文形式存储的数据；

4)虚拟卷加载单元根据首先将虚拟卷头扇区中的口令解密，然后与用户输入口令进行比较，判断口令是否正确，如果正确则从交互界面得到口令；

5)虚拟卷驱动单元根据用户输入的口令，生成用来加密磁盘密钥的头密钥，解密出磁盘密钥和加密算法，进而解出授权ID等字段；

6)虚拟卷驱动单元在加载过程中检查授权ID，检查授权ID如果通过，则表示加载成功。

智能博客锁正常加载后，剩余虚拟卷空间可以作为安全区使用。写入安全区的数据自动的加密，读安全区的数据自动的解密。读写数据加解密过程对用户而言不需做额外任何操作，既达到了保护数据的目的又达到了不改变用户使用习惯的目的。

如果该同学需要访问博客服务器上的私有内容，博客服务器的访问控制按照如图5所示流程进行。界面首先通过ActiveX控件判断智能博客锁是否加载成功，如果加载成功读出授权ID，根据授权ID在服务器上验证该博客锁的状态是否正常，如果状态被锁定，则返回提示信息，无法查看私有内容。正常情况下从数据库中提取博客私有内容。

如果忘记加载智能博客锁的密码，可以通过短信的方式获取密码。获取密码过程如图6所示。首先获取博客锁授权ID，根据该授权ID判断服务器上该博客锁的状态。正常状态时，通过授权ID对应的手机号码发送登录密码。